django rest framework-JWT

JWT介绍

参考https://lion1ou.win/2017/01/18/介绍。

session与JSON Web Token区别

生成sessionid存到redis里 userid：sessionid。然后sessionid返回给用户，用户在之后进行需要验证身份的操作时带上sessionid和userid，后端验证这个sessionid是否与redis中的sessionid是否相同。
Token和session其实都是为了身份验证，session需要我们进行存贮，用于日后比对，而Token不用。
Token是使用算法的方式进行验证，就不需要进行往数据库里存了。

drf自带Token与JSON Web Token区别

drf 自带的token也是新建一张Token表，里面存了用户和随机值Token的对应关系，和三级项目数据库里存sessionid没什么区别，只不过drf的token要放在请求header里，普通接口的sessionid放在get或post请求中。

使用 django-rest-framework-jwt

django有现成的JWT轮子 django-rest-framework-jwt，可以拿来使用。

下载安装

pip install djangorestframework-jwt

设置权限认证

设置PERMISSION_CLASSES和AUTHENTICATION_CLASSES
全局设置权限认证，在settings.py中

REST_FRAMEWORK = {
    # 权限认证
    'DEFAULT_PERMISSION_CLASSES': (
        # 使用django标准的 'django.contrib.auth'权限，未认证的用户只读权限
        #'rest_framework.permissions.DjangoModelPermissionsOrAnonReadOnly'
        'rest_framework.permissions.IsAuthenticated',
    ),
    # 身份验证
    'DEFAULT_AUTHENTICATION_CLASSES': (
            'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
            'rest_framework.authentication.SessionAuthentication',
            'rest_framework.authentication.BasicAuthentication',
        ),
}

import datetime
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), # 指明token的有效期
}

url配置

添加以下URL路由以启用通过POST获取令牌包括用户的用户名和密码。

from rest_framework_jwt.views import obtain_jwt_token
urlpatterns = [
    url(r'^api-token-auth/', obtain_jwt_token),
]

局部设置权限认证，也可以在指定的ViewSet下设置权限，比如对文章信息做权限认证，需登录后才能获得信息。

class ArticleViewSet(mixins.ListModelMixin, mixins.CreateModelMixin, viewsets.GenericViewSet):
    queryset = Article.objects.all()  # 查询结果集
    serializer_class = ArticleSerializer # 序列化类
    pagination_class = ArticlePagination   # 自定义分页会覆盖settings全局配置的
    # 过滤器 过滤，搜索，排序
    filter_backends = (DjangoFilterBackend,filters.SearchFilter,filters.OrderingFilter)
    # 如果要允许对某些字段进行过滤，可以使用filter_fields属性。
    #filter_fields = ('title', 'category')
    # 使用自定义过滤器
    filter_class = AriticleFilter
    # 搜索
    search_fields = ('title', 'description', 'content')
    # 排序
    ordering_fields = ('id', 'read_num')

    # Token认证
    from rest_framework.permissions import IsAuthenticated
    permission_classes = (IsAuthenticated,)

测试

此时直接访问http://www.qmpython.com:8000/api/articles/返回

{
  "detail": "身份认证信息未提供。"
}

获取JWT token

在linux中

curl -X POST -H "Content-Type: application/json" -d '{"username":"admin","password":"1q2w3e4r"}' http://www.qmpython.com:8000/api/api-token-auth/

返回

{"token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZW1haWwiOiIxMzI4QHFxLmNvbSIsImV4cCI6MTU1OTUyODIxOCwidXNlcl9pZCI6MX0.FXh6MiTlEhx0XMkx7ofcENh0ldFdh2nqWvBLOkCcLOY"}

访问需权限的url

将上面获取的token，访问需要权限的url

curl -H "Authorization: JWT eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZW1haWwiOiIxMzI4QHFxLmNvbSIsImV4cCI6MTU1OTUyODIxOCwidXNlcl9pZCI6MX0.FXh6MiTlEhx0XMkx7ofcENh0ldFdh2nqWvBLOkCcLOY" http://www.qmpython.com:8000/api/articles/

image.png